Agent 自主调用 API 的治理思路：从成本可见到预算可控

近期，Codex 的核心能力正式并入 ChatGPT，周活突破 500 万。Agent 从开发工具变成了通用生产力工具，但也带来了一个被忽视的问题：Agent 在后台自主调用 API 时，用户只看到结果，看不到中间烧了多少 Token。

Agent 调用的隐性消费

以一个典型场景为例。用户让 Agent「分析这个月的销售数据，做个可视化报表」。Agent 在后台的执行链大致是：读文件 → 调模型理解需求 → 生成分析代码 → 执行脚本 → 发现格式异常 → 修正代码 → 重新执行 → 渲染图表。整个过程可能触发七八次 API 调用，每次按 Token 计费。

人工调用是可预期的，Agent 调用是级联的、带重试的。一个任务没跑通，它会自动重试，用户甚至不知道耗了多少次。

现有账单体系的盲区

当前 API 账单的粒度是 Key 级别——只知道这个月花了多少钱，无法区分人工调用和 Agent 自动消费、无法定位消费最高的会话、无法感知异常速率。Agent 可以在一小时内烧掉月度预算，告警机制却还停留在「月底看账单」。

更严重的是安全层面的连锁反应。第三方安全机构的调查显示，大量企业的 API Key 曾在代码托管平台泄露。在 Agent 时代，一把泄露的 Key 加上被注入的 Agent，不仅意味着他人可以调用你的 API，更意味着一段不受控的程序在替你花钱。

三层治理方案的工程思路

1. 会话级消费归因

将消费归因从 Key 级别细化到会话级别。实现方式是在 API 调用链路中注入会话标识（如通过请求头 X-Session-ID），在网关层对每个请求打标，将消费数据按会话维度实时聚合。当某会话消费异常时，能直接定位到具体会话和触发人。

2. 任务级预算控制

月度配额粒度太粗。需要将预算控制下沉到任务级别，例如对单次 Agent 会话设置 5 美元的上限。技术实现上可基于令牌桶算法，在 Proxy 层增加实时计费拦截——会话累计消费超阈值时返回 429 并触发告警。这类似于云服务中资源配额管理的思路，只是粒度从「账号月配额」细化为「会话任务配额」。

3. 临时凭证机制

Agent 不应持有永久有效的 Key。可以采用类似临时安全令牌（STS）的模式：任务开始时签发有限权限和有效期的临时凭证，任务结束自动失效。这样即使 Agent 被注入攻击，攻击面也被限制在单次任务的范围内。

这三件事本质上是在 API 调用链路中增加一层治理平面——按会话拆分消费数据、按任务控制预算、按生命周期管理凭证。Agent 是提升效率的好工具，但需要配套的治理机制，才能放心地把调用权限交给它。